**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 사용 사례에 맞게 Bot Control 선택 및 구성
<a name="waf-bot-control-use-cases"></a>

Bot Control은 다양한 자동 위협으로부터 보호합니다. 올바른 구성은 보호 대상과 직면한 위협에 따라 달라집니다. 이 주제를 사용하여 적절한 보호 수준을 선택하고 일반적인 애플리케이션 시나리오에 맞게 Bot Control을 구성합니다.

## Bot Control을 애플리케이션에 매칭
<a name="waf-bot-control-use-cases-scenarios"></a>

봇 위협은 일반적으로 세 가지 범주로 분류됩니다.
+ **사기 위협** - 자격 증명 스터핑, 가짜 계정 및 자동 구매.
+ **콘텐츠 위협** - 요금 데이터, 제품 카탈로그 및 게시된 콘텐츠 스크레이핑.
+ **가용성 위협** - 성능을 저하시키거나 인프라 비용을 높이는 봇 트래픽 볼륨입니다.

이러한 위협의 대부분에는 클라이언트 애플리케이션 통합 SDKs를 사용하여 대상 보호 수준을 사용하는 것이 좋습니다. 다음 시나리오에서는 각각에 대해 Bot Control을 구성하는 방법을 설명합니다.

**로그인 및 계정 페이지 보호**  
자격 증명 스터핑 및 계정 탈취 공격은 자동화된 도구를 사용하여 로그인 엔드포인트에 대해 도난된 자격 증명을 테스트합니다. 계정 생성 사기는 봇을 사용하여 대규모로 가짜 계정을 생성합니다. 사이트 전체에서 애플리케이션 통합 SDK를 통합하고 로그인 및 계정 생성 보호를 위해 Bot Control을 AWS WAF 사기 제어 관리형 규칙 그룹과 페어링합니다.

**제품 카탈로그 및 요금 데이터 보호**  
애플리케이션에 제품 정보, 요금, 인벤토리 수준 또는 기타 경쟁 데이터가 표시되는 경우 봇은이 콘텐츠를 스크레이핑하여 경쟁자 인텔리전스를 제공하거나, 비교 사이트를 구축하거나, 요금을 인하할 수 있습니다. 이러한 스크레이퍼는 종종 실제 브라우저를 모방하고 감지를 방지하기 위해 거주 IP 주소를 순환합니다. 체크아웃뿐만 아니라 제품 및 카탈로그 페이지에 Bot Control을 적용합니다. 이렇게 하면 봇이 일반 브라우저인 것처럼 보이더라도 Bot Control이 자동 스크레이핑의 동작 패턴을 감지할 수 있습니다.

**게시된 콘텐츠 보호**  
콘텐츠 게시자, 뉴스 사이트 및 미디어 플랫폼은 기사, 이미지 및 기타 원본 콘텐츠를 복사하는 봇을 마주합니다. 이 콘텐츠 도용은 검색 순위를 약화시키고 광고 수익을 줄이며 경쟁 입지를 약화시킬 수 있습니다. 콘텐츠 페이지에 Bot Control을 적용합니다. Bot Control 대시보드를 사용하여 콘텐츠에 액세스하는 봇을 모니터링하고 각 범주를 처리하는 방법을 결정합니다. 자세한 내용은 [AWS WAF Bot Control 구성 요소](waf-bot-control-components.md) 단원을 참조하십시오.

**원치 않는 크롤러로 인한 인프라 비용 절감**  
스크레이퍼, 크롤러 및 자동화된 도구는 높은 트래픽 볼륨을 생성하여 비즈니스 가치를 제공하지 않고도 컴퓨팅 및 데이터 전송 비용을 높일 수 있습니다. Bot Control은 스크레이퍼, HTTP 라이브러리, 크롤링 프레임워크와 같은 범주별로 자체 선언 봇을 식별합니다. 그런 다음 레이블을 사용하여 각 범주를 독립적으로 차단하거나 속도를 제한할 수 있습니다. 회피 스크레이핑의 경우 대상 보호는 주택 프록시 및 헤드리스 브라우저를 사용하는 봇을 포함하여 자격 증명을 위장하는 봇을 감지합니다.

**고가치 트랜잭션 보호**  
체크아웃 흐름, 제한된 인벤토리 구매 및 티켓 판매는 합법적인 고객과 경쟁하는 자동 구매 봇의 대상입니다. Bot Control은 Selenium 및 Puppeteer와 같은 자동화된 브라우저를 감지하고 세션 수준 속도 제한을 적용하여 단일 클라이언트가 인벤토리를 독점하는 것을 방지합니다. 가장 강력한 탐지 정확도를 위해 트랜잭션 페이지에 SDKs를 통합합니다.

**AI 크롤러 및 훈련 데이터 스크레이퍼 관리**  
AI 봇은 애플리케이션에서 콘텐츠를 수집하여 AI 애플리케이션에서 모델을 훈련하거나 데이터를 표시합니다. Bot Control은 알려진 AI 봇을 분류합니다. 확인된 검색 엔진 크롤러와 같이 허용하려는 특정 AI 봇을 허용하고 다른 봇을 차단하거나 속도 제한을 허용하는 사용자 지정 규칙을 작성합니다. 브라우저 자동화 프레임워크를 사용하여 애플리케이션과 상호 작용하는 AI 에이전트의 경우 Bot Control은 이러한 자동 세션을 감지하고 문제를 해결합니다. 웹 봇 인증(WBA)을 사용하면 합법적인 AI 에이전트가 자신의 자격 증명을 암호화 방식으로 증명할 수 있습니다. 이렇게 하면 승인된 에이전트와 권한이 없는 에이전트를 구별할 수 있는 신뢰할 수 있는 신호가 제공됩니다. WBA에 대한 자세한 내용은 섹션을 참조하세요[AI 에이전트를 위한 웹 봇 인증](waf-bot-control.md#waf-bot-ai-agents).

**모바일 애플리케이션 보호**  
모바일 애플리케이션은 웹 애플리케이션과 유사한 봇 위협에 직면하지만 트래픽의 특성은 다릅니다. 모바일 클라이언트는 브라우저가 아닌 사용자 에이전트를 사용합니다. 기본 모바일 애플리케이션 프레임워크의 HTTP 요청은 Bot Control `SignalNonBrowserUserAgent` 규칙에서 제외되지만 비표준 HTTP 라이브러리 및 인앱 브라우저는 제외되지 않습니다. AWS WAF Mobile SDK를 iOS 또는 Android 애플리케이션에 통합하여 대상 보호가 정확한 탐지를 위해 사용하는 클라이언트 측 토큰을 제공합니다.

## 일반 보호와 대상 보호 중에서 선택
<a name="waf-bot-control-choosing-level"></a>

Bot Control은 두 가지 보호 수준을 제공합니다. 다음 지침은 애플리케이션에 적합한 수준을 선택하는 데 도움이 됩니다.

**공통 보호 수준**  
일반적인 보호 기능은 사용자 에이전트 문자열, IP 주소 및 기타 요청 특성을 통해 자신을 식별하는 봇을 감지합니다. 알려진 조직(예: 검색 엔진)에서 나온 것으로 주장하는 봇이 실제로 해당 조직에서 시작된 것인지 확인합니다. 일반적인 보호를 통해 애플리케이션을 방문하는 사용자를 파악하고 각 봇 범주를 독립적으로 제어할 수 있습니다. SDKs가 필요하지 않으며 요청당 비용이 더 낮습니다. 검색 엔진 크롤러를 허용하면서 원치 않는 스크레이퍼를 차단하는 등 주로 알려진 봇 트래픽을 관리해야 하는 경우 일반적인 보호가 좋은 출발점입니다.

**대상 보호 수준**  
대상 보호 수준은 공통 보호 수준이 감지하는 모든 것을 감지하고 자체 식별되지 않는 봇에 대한 감지를 추가합니다. 브라우저 질문, TLS 지문, 행동 휴리스틱 및 기계 학습을 사용하여 자동화된 클라이언트와 인간을 구분합니다. 기계 학습은 타임스탬프, 브라우저 특성 및 탐색 동작을 포함하여 특정 웹 사이트의 트래픽 패턴을 분석합니다. 트래픽이 변경되고 봇 전술이 변경되면 탐지를 업데이트합니다. 보안 인증 정보 스터핑, 고급 스크레이핑, 자동 구매 또는 공격자가 탐지를 적극적으로 회피하려고 하는 봇 활동이 있는 애플리케이션에는 대상 보호가 권장됩니다.

대부분의 프로덕션 웹 애플리케이션의 경우 대상 보호 기능을 사용하는 것이 좋습니다. 특정 시나리오에 대한 대상 보호 구성에 대한 지침은 섹션을 참조하세요[Bot Control을 애플리케이션에 매칭](#waf-bot-control-use-cases-scenarios). 트래픽이 많은 볼륨에서 비용을 관리하는 방법에 대한 지침은 섹션을 참조하세요[비용 관리](#waf-bot-control-cost-strategies).


|  | 일반 | [Targeted] | 
| --- | --- | --- | 
| 자체 식별 봇 감지 | 예 | 예 | 
| 합법적인 봇 확인(검색 엔진, 모니터링 서비스) | 예 | 예 | 
| 자격 증명을 숨기는 봇을 감지합니다. | 아니요 | 예 | 
| 트래픽에 맞게 조정된 기계 학습 | 아니요 | 예 | 
| 세션 수준 속도 제한 | 아니요 | 예 | 
| 브라우저 자동화 도구 감지 | 예(자체 식별) | 예(대화 포함) | 
| 클라이언트 애플리케이션 통합 SDKs | 불필요 | 강력히 권장됨 | 

**규칙 그룹 버전 확인**  
Bot Control 관리형 규칙 그룹은 시간이 지남에 따라 새로운 탐지 기능으로 업데이트됩니다. 현재 사용 중인 버전과 최신 정적 버전을 사용할 수 있는지 확인합니다. 최신 버전에는 새로운 봇 위협에 대한 적용 범위를 늘릴 수 있는 추가 탐지가 포함되어 있습니다. 에서 사용 가능한 버전과 변경 사항을 검토할 수 있습니다[AWS 관리형 규칙 변경 로그](aws-managed-rule-groups-changelog.md).

## Bot Control 탐지 작동 방식
<a name="waf-bot-control-how-it-protects"></a>

Bot Control은 봇 이름, 범주, 조직 및 확인 상태 등 세분화된 분류로 평가하는 모든 요청에 레이블을 지정합니다. 이러한 레이블과 일치하는 규칙을 작성하여 각 봇 유형에 대해 수행할 작업을 결정합니다. 이렇게 하면 모든 봇 트래픽에 대해 단일 allow-or-block 결정이 아닌 완전한 제어가 가능합니다.

대상 보호 수준에서 Bot Control은 여러 탐지 기술을 결합합니다. 여기에는 서명 일치, 브라우저 질문, TLS 지문, 행동 휴리스틱 및 웹 사이트의 트래픽 패턴에 맞게 조정된 기계 학습이 포함됩니다. 한 기법을 회피하는 봇은 다른 기법에 의해 포착될 수 있습니다. 또한 기계 학습은 조정된 봇 활동, 즉 개별 요청 분석을 놓치는 방식으로 여러 클라이언트가 함께 작동하는 패턴을 감지합니다. 모든 Bot Control 구성 요소에 대한 자세한 설명은 섹션을 참조하세요[AWS WAF Bot Control 구성 요소](waf-bot-control-components.md). 클라이언트와 간의 Challenge 및 CAPTCHA 상호 작용 작동 방식에 대한 연습은 섹션을 AWS WAF참조하세요[CAPTCHA Challenge의 및 AWS WAF](waf-captcha-and-challenge.md).

## 비용 관리
<a name="waf-bot-control-cost-strategies"></a>

Bot Control 관리형 규칙 그룹 사용 비용은가 이를 통해 AWS WAF 평가하는 웹 요청 수에 따라 증가합니다. 대부분의 애플리케이션의 경우 Bot Control 비용은 Bot Control이 제공하는 보호 기능을 통해 정당화됩니다. 봇 트래픽을 차단하면 종종 검사 자체 비용보다 컴퓨팅, 대역폭 및 데이터 전송 비용이 많이 절감됩니다. 비용을 추가로 최적화해야 하는 경우 다음 전략이 도움이 될 수 있습니다.

**정적 자산 제외**  
가장 간단한 비용 최적화는 `.svg` Bot Control 검사에서 `.css`, `.png``.jpg`, 및와 같은 정적 파일 유형에 대한 요청을 제외하는 것입니다. 애플리케이션 데이터 및 기능을 대상으로 하는 봇은 스타일시트 또는 이미지가 아닌 동적 엔드포인트에 도달합니다. 이렇게 하면 탐지 효과를 줄이지 않고 검사된 요청이 줄어듭니다. 예제는 [봇 컨트롤 예제: 봇 컨트롤을 동적 콘텐츠에만 사용](waf-bot-control-example-scope-down-dynamic-content.md) 섹션을 참조하세요.

**효율성을 위한 주문 규칙**  
보호 팩(웹 ACL)의 Bot Control 관리형 규칙 그룹 앞에 저렴한 규칙을 배치합니다. IP 평판 목록, 지리적 제한 및 속도 기반 규칙과 같은 규칙은 원치 않는 트래픽이 유료 Bot Control 검사에 도달하기 전에 명확하게 차단할 수 있습니다. 이전 규칙에 의해 차단된 요청은 Bot Control에서 평가되지 않으므로 요청당 추가 요금이 발생하지 않습니다.

**적절한 경우 특정 엔드포인트로 범위 지정**  
일부 애플리케이션의 경우 사이트의 특정 부분에만 Bot Control을 적용할 수 있습니다. 예를 들어 애플리케이션에 민감한 데이터 또는 중요한 콘텐츠가 포함되지 않은 공개 정보 섹션이 있는 경우 검사에서 제외할 수 있습니다. 제품 카탈로그, 요금 데이터 또는 게시된 문서와 같이 보호할 가치가 있는 콘텐츠가 포함된 페이지를 제외하지 않도록 주의하십시오. 예제는 [봇 컨트롤 예제: 로그인 페이지에만 봇 컨트롤 사용](waf-bot-control-example-scope-down-login.md) 섹션을 참조하세요.

## 클라이언트 애플리케이션 통합 SDKs 통합
<a name="waf-bot-control-sdk-guidance"></a>

JavaScript 및 Mobile SDKs합니다. SDKs는 대상 규칙이 세션 수준 감지에 사용하는 브라우저 지문, 챌린지 토큰 관리 및 동작 원격 측정을 제공합니다. 여기서 세션은 SDK가 획득하는 클라이언트 토큰으로 식별되며, 이는 특정 브라우저 또는 디바이스를 나타냅니다. SDKs가 없으면 대상 보호는 사용할 컨텍스트가 훨씬 적으며 고급 봇을 합법적인 사용자와 안정적으로 구별할 수 없습니다.

**SDK를 처음부터 통합**  
대상 보호를 배포할 때 SDK를 SDKs. 이는 프로덕션 환경에 배포하든 테스트 환경에서 Bot Control을 평가하든 관계없이 적용됩니다. SDKs 대상 규칙이 SDK만 제공하는 클라이언트 측 신호에 의존하기 때문에 SDKs 없이 대상 보호를 평가해도 탐지 기능을 정확하게 파악할 수 없습니다.

**광범위한 통합 권장**  
가장 강력한 탐지를 위해 로그인 또는 체크아웃뿐만 아니라 동적 콘텐츠를 제공하는 모든 페이지에 JavaScript SDK를 통합합니다. Bot Control은 요청 타이밍, 페이지 시퀀스 및 상호 작용 패턴을 포함하여 클라이언트가 애플리케이션을 탐색하는 방법을 기반으로 동작 프로파일을 빌드합니다. SDK가 단일 페이지에만 있는 경우 Bot Control은 실제 사용자를 한 페이지 로드를 모방하도록 학습한 봇과 구별할 수 있도록 동작 컨텍스트가 제한적입니다. 더 광범위한 통합을 통해 Bot Control은 각 클라이언트 세션에 대한 더 풍부한 그림을 얻을 수 있으므로 주택 프록시 봇넷과 같은 고급 봇의 탐지가 개선됩니다. 최소한 가장 중요한 페이지에 SDK를 통합하되 종료 상태가 아닌 시작점으로 취급합니다.

**모바일 애플리케이션**  
iOS 및 Android 애플리케이션의 경우 AWS WAF Mobile SDK를 사용합니다. Mobile SDK는 앱 내에서 토큰 획득 및 갱신을 처리합니다. SDK에 대한 자세한 내용은 [의 클라이언트 애플리케이션 통합 AWS WAF](waf-application-integration.md)을 참조하세요.

## 일반적인 구성 조정
<a name="waf-bot-control-common-adjustments"></a>

대부분의 Bot Control 배포에는 애플리케이션 트래픽의 특정 특성에 맞게 일부 구성 조정이 필요합니다. 다음은 가장 일반적인 조정입니다.

**모니터링 및 상태 확인 도구 허용**  
내부 모니터링 도구, 가동 시간 검사기 및 로드 밸런서 상태 확인은 Bot Control이 봇 활동으로 식별할 수 있는 자동화된 트래픽을 생성합니다. 소스 IP 주소 범위와 일치하는 범위 축소 문 또는 모니터링 도구에 포함된 사용자 지정 헤더를 사용하여 Bot Control 검사에서 이러한 요청을 제외합니다.

**인앱 브라우저 및 비표준 HTTP 라이브러리 제외**  
사용자가 소셜 미디어 앱에서 열린 링크와 같은 인앱 브라우저를 통해 사이트에 액세스하거나 모바일 앱이 비표준 HTTP 라이브러리를 사용하는 경우 이러한 클라이언트가 `SignalNonBrowserUserAgent` 규칙을 트리거할 수 있습니다. 표준 네이티브 모바일 프레임워크는이 규칙에서 제외되지만 브라우저가 아닌 다른 사용자 에이전트는 제외되지 않습니다. 이러한 클라이언트에 대해 Bot Control 규칙 그룹에서 사용자 에이전트 예외를 구성합니다. 예제는 [봇 컨트롤 예제: 차단된 사용자 에이전트에 대한 예외 생성](waf-bot-control-example-user-agent-exception.md) 섹션을 참조하세요.

**확인된 봇 크롤러 관리**  
Bot Control은 기본적으로 확인된 봇을 허용합니다. 예를 들어 공격적이지만 합법적인 검색 엔진 크롤링의 부하를 줄이기 위해 확인된 크롤러도 속도를 제한하려면 봇 레이블을 사용하여 확인된 특정 봇 범주에 대한 요청 속도를 제한하는 사용자 지정 속도 기반 규칙을 작성합니다. 예제는 [봇 컨트롤 예제: 확인된 봇을 명시적으로 허용](waf-bot-control-example-allow-verified-bots.md) 섹션을 참조하세요.

**오리진에 봇 신호 전달**  
Bot Control 분류 레이블을 애플리케이션에 사용자 지정 요청 헤더로 전달할 수 있습니다. 그런 다음 오리진은 레이블을 사용하여 의심스러운 스크레이퍼에게 간소화된 콘텐츠를 제공하거나, 자체 분석에서 봇 활동을 로깅하거나, 거짓 긍정 보고를 위해 블록 페이지에 요청 식별자를 포함할 수 있습니다. AWS WAF 사용자 지정 요청 헤더 기능을 사용하여 레이블 일치를 기반으로 헤더를 삽입합니다. 헤더의 동적 레이블 값에 대한 자세한 내용은 섹션을 참조하세요[의 사용자 지정 웹 요청 및 응답 AWS WAF](waf-custom-request-response.md).

**단계적 인증 트리거**  
의심스러운 트래픽을 완전히 차단하는 대신 Bot Control 신호를 애플리케이션에 전달하고 이를 사용하여 추가 확인을 트리거할 수 있습니다. 예를 들어 Bot Control이 세션에 의심스러운 것으로 레이블을 지정하는 경우 애플리케이션에서는 민감한 작업을 완료하기 전에 다중 인증을 요구하거나 추가 확인 단계를 제공할 수 있습니다. 단계적 인증은 오탐의 영향을 줄이는 동시에 자동화된 위협으로부터 보호합니다. 사용자 지정 요청 헤더를 사용하여 관련 Bot Control 레이블을 오리진에 전달합니다.

**적용 전 테스트**  
항상 계산 모드에서 Bot Control을 먼저 배포합니다. 개수 모드에서 Bot Control은 모든 요청에 레이블을 지정하지만 트래픽을 차단하지는 않습니다. AWS WAF 로그의 레이블을 검토하여 Bot Control이 트래픽에서 감지하는 내용을 이해하고, 합법적인 트래픽에 레이블이 잘못 지정되지 않았는지 확인한 다음, 감지 정확도에 확신이 들면 차단 모드로 전환합니다. 테스트 및 배포에 대한 자세한 지침은 섹션을 참조하세요[AWS WAF Bot Control 테스트 및 배포](waf-bot-control-deploying.md).